ルーターのUPnPは無効にすべきか

先日知人より、突然インターネットが使えなくなったからなんとかして欲しい、という依頼を受けた。

私が現場(知人の経営する会社の事務所)へ行ってWindowzの「ネットワークの状態」を見ると、WAN側の接続が切れているようだった。

そこでルーターに問題がある思ってルーターの設定画面をブラウザで開こうとしたのだが、ルーターの設定画面に入ろうとするとログイン出来ない。

何度もIDとパスワードに間違いが無い事を確認したがダメだった。

ちなみにこのルーター(NECのAterm WG1800HP3)は約1年半前に私が設置したもので、内部の設定も全て私が行っている。


この時点でルーターの設定がなんらかの理由で壊れているか、或いは人為的に書き換えられていると仮定し、まずはリセットボタンで初期化した。

初期化後は当然に設定画面に入る事が出来たので、とりあえずファームウェアを最新にアップデートし、プロバイダへ接続するための設定を行ってからインターネットの接続が正常に出来ている事を確認してその場を辞した。

しかし翌日の朝、またダメだという連絡が入る。

現場に到着してからルーターの設定画面を開くと、今度はまだパスワードが通るようで問題なくログイン出来た。

そこで今度はUPnPを無効に設定し、念のためにパスワードをデフォルト(WG1800HP3は出荷時のパスワードが一台一台全て違う)とは違う物に変更してから作業を終えた。


ところで、UPnPを無効に設定した事には理由がある。

それは、UPnPを悪用する事でルーターの設定を書き換える事が可能だからだ。過去にはUPnPを利用した、ルーターの設定をコントロールするためのアプリケーションが存在したりもしている。

要は事務所内にあるコンピュータ（パソコンやスマートフォン、IoT機器など）がマルウェアに感染するなどして、ルーターの設定を書き換えられた可能性があるという事。

ルーター自体に問題が無い事は確認のしようも無いが、UPnPを無効にした後は問題が再発していないので、ルーターそのものには問題が無いと考えられる。


ちなみに件の知人には過去に別件で、事務所内にある一台のパソコンがマルウェアに感染している可能性がある事を伝達済みだ。

しかしその後何も言って来ない。もちろん放置すれば危険である事も説明したが、のれんにうで押しぬかに釘である。

以上の事から、今回のケースではマルウェアに感染したPCによってルーターの設定が書き換えられた結果、なんらかの理由でマルウェア側の想定とは違う挙動をルーターがしたためにインターネットとの接続を維持出来なくなったのではないか、と私は推測している。（まるで見当違いであるかもしれないが）

こんな事があるのだから、特に必要が無ければルーターのUPnPは必ず切った方が良いのかもしれない。

追記： その後この件について色々調べると、以下のサイトを発見。 やはりUPnPは基本OFFが良いようだ。

IoT機器の深刻な脆弱性が、長い“潜伏期間”を経て表面化し始めた
https://wired.jp/2018/04/27/upnp-router-game-console/

やっぱりUPnPは「無効」に設定すべき？という話について調査してみた
https://did2memo.net/2013/01/31/turn-upnp-off/